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أعداد المبرمج:مشتاق طالب رشيد العامري 


16-12-09 


بض طرق الرقاية من الأختراق الألكذروني 


جميع الحقوق محفوظة للمؤلف للمرlجعة:mushtaq_talib58@yah0o0.com‏ 


طريقة اكتشاف البورتات المفتوحة في حهازك 


البورت هي البوابة التي تمكن الهاكر من الدخول إلى جهازك. لذلك يجب 
عل أن ترف هد الواة رتوم باعلاقيا وسندك الط عة التى تكسف 
لل ال بات (الوسات )الم وة فى يال 


تتم هذه الطريقة باستعمال الدوس.. قم بتشغيل الدوس بعدها أدخل الأمر التالي: 
a-Netstat‏ 


ثم اضغط عع 


ع تنفيذ الله اه ي سيتم عرض جميع المنافذ المفتوحة وهي 
التي تلي الرمز ( : ) أما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي 
نم تعريفه عند تجهيز شبكة الاتصال. 

Microsoft(R} Windows 38 

[(GCJCopyFight Microsoft Corp 13781-1999. 
GCS»WINDOWS netstat ~a 
Active Connections 


Proto Local Address "E 1 dldFress State 

TEP khale l:i 7388 | -A.A.A: LISTENING 
TCP khaleli1A3? | .A.H.A: LISTENING 
UDP khalel 2 


GE :™ YI NDONS » 


اذاارت أن ت صل على نان دة WLU Sul dm‏ 


قائمة بأرقام المنافذ (البورتات) التي تستخدمها برامج الإختراكلكتعددة. 
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طريقة إغلاق البورتات المفتوحة 


ن وای دال ع ال ا رالمات )اله هه 
ال ل د عا ا الد فاا 


إنها مشكلة معروفة ومعتادة.. تنفذ أمر " أةاكاه"-ة" على الويندوز» وترى 
عدد من linJlفذ‏ بllzة "LISTENING"‏ أ9 ."ESTABLISHED"‏ 


يعني ذلك أن بعض التطبيقات تعمل متخفية وبالتالي ثبقي المنافذ التي 
تستخدمها مفتوحة لاأي اتصال قادم. 


تكم ۵ المٹ کا نھ م عخقی تطبيق هو الذي يبقي المنفذ مفتوحاًء ومن 
تم يتم إغلاق هذا التطبيق. 


فمن غير معرفة ذلك يمكن أن يكون تروجان بداخل جهازك ويتم السيطرة 
عليه» أو غيره #التجاقات التج عمل حون علمك. 


و لذلك يجب عليك اللتججاكرفة ما نكي جهازك. 


: Inzider pمlدختwسا‎ 


Inzider <[-supportEmptyParas! if]--!>‏ هو برتامج بشسيط يمكنك من 
عرض جميع التطبيقات الفعّالة بالجهاز وأرقام المناقذ (البورتات) ‌ 


تستخدمها. 
يمكنك تحميله من المواقع التالية: اضغط هنا للتحميل (( ١‏ )) (( ۲ )) 
KB :2 .Inzider v1 |‏ 250 [ 


متال حول طريقة العمل: 
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>]-supportEmptyParas!if [--!>‏ في الأعلی یظهر لنا أن 1۲٥/۵8105‏ قر 
تم تفعيله ) linJ|lفڌ nbdatagram .nbname .nbsession «۱۸ «1۳V‏ (. 


مما يعني أن الجهاز يستخدم كسيرفر سامحا للأجهزة بالشبكة في 
مشاركة الملفات أو استخدام الطابعة متلا 


ولکن یظهر لنا أیضاً ۴۳۴ ( البورت 69/00۴ ) مفتوح» وذلك غريب بعض 
الشيء! حيٿ إن 1۴1° |ختصlر Trivial File Transfer Protocol ) J‏ ) تعني 
انه يسمح لإرسال واستقبال الملفات من غير رقيب. 


لمعرفة ما هو سبب بقاء ال ۲۴۲۶ مفتوحا.. نستطیع فشغیل ھا مچ 
[ide‏ ونجعله يقوم بتحليل النظام. النتيجة ستظهر إلى خد ما هكذا: 
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بُلاحظ أن "۲ع ل71١1"‏ وجد العديد من التطبيقات الفعّالة. ۲10 يرمز إلى ( 
Process‏ ) المستخدم من قبل النظام لتعريف وتمييز التطبيق الفعال 
عن غيره من اها التي تعهؤل في هس الوقت. 


في الأعلى نجد أن هناك تطبيق واحد تنفيذي EXE. TFTPSERVFER gg‏ 
والموجود في PROGRAM FILESCISCO SYSTEMSCISCO 7FTP :C‏ 

) 69/02۴ ( وقد أظهر البرنامج أن المنفذ الذي يستخدمه هو‎ . SERVER 
.) ٣۴٣۴ ( وھو منفذ ال‎ 


بذلك وجدنا الملف التنفيذي الذي یشغل البورت 1٩۹‏ التابع ل 1۴۲۴ وهو ما 
اللا 


الآن لنا الخيار في إزالة هذا الملف ومنعه من ايهخدام اللات المص 
له أو البقاء عليه إن علمنا انا رن الاه الى رث 


--!> <[-supportEmptyParas! if]--!> <[-supportEmptyParas!if ]--!> 
<[-endif] 


التحقق في s98سWindo:‏ 
ویندوز يصم أداة ممرة لمعرقة مع التطيقات الى تعمل عند دك | 


النظام. هذه الأداة هي System Configuration Utility ) J|‏ ) ويمکن 
الوصول إليها عن طريق exe.WindowsSysten MS€C01۴19:٤C‏ . او من خلال: 


قائمة ابدأً S٣‏ > تشغيل ١ا۸‏ > كتابة وا؟١هءء«‏ . أو اضغط هنا للوصول 
إليها تلقائيا. 
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بعد التشغيل.. ننتقل إلى لسان التبويب ( مط۷ا۲ه)S‏ ) الذي يعرض جميع 
التطبيقات التي تعمل بمجرد تشغيل النظام. لمنع برنامج من التشغيل 
ببساطة قم بازالة علامة التحديد بجانب اسمه»ء تم )0. بعد إعادة 


التشغيل لن يتم تشغيل التطبيق الذي قمت بإزالته. 


gl System Configuration Utility 
File Ylew Help 


General | Config.zys | Autoeuec.bat | System.ini | win. ini Startup | 


Select fhe check box to enable a startup term, or clear fhe check box ta 
disable a startup item. 


Ê RunÛLL deskep16.dl.QUICERES_# 
AUL Instant Messenger [TM] LC: Program Files etscape"Lornm 
ScanRegistry cinoma SCaANTEQH. ENE autor 


TaskMonitar cin dowattaskmon. EE 

System Tray Sys Tray. EE 

LoadPowerPrafile Rundlldd.exe powrpraf. dll, Load ur 

shin dAERE LMcAfeeyYinasS cans HIN 3é 

seticlent L:"Program FilesSE Tlaihome™S5 E 

EnsoniqMixer slarter.exe 

BilMinder LE AIICEE NWABILLMIND. ا‎ 
۴٣ 


لک 11 لک لکا لک لک لک لکا لك =١ 1١‏ 


oe | | 


>!--] ortEmptyParas!ifمsupp-]‏ > إضافة إلى ط۲۵ مtupاSta..‏ یمکنك عرض 
مlلخlت glçölg . ini.ini and win.bat, system.sys, autoexec.config J|‏ 
نفس الطريقة في إيقاف التطبيقات الغير مرغوبة من التنفيذ. لسان التبويب 
اaامnع‏ يمكنك من عمل نسخة احتياطية للملفات المشار إليما. 


«(Microsoft System 1f0rmati0¬ ) أداة أخرى مميزة في الويندوز هي‎ 
IE MM U 


Software ىیلlإ‎ Jلاقتنالا أو اضغط هنا للوصول إليها مباشرة.. يتم‎ Msinfo32 
. Startup Programs »pîã Enviornment 
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3, Microsolt Syatem Information 


LEE EE E TEE HE E E E 


SEHEÎ 


Stem lInformaliori 
f Hardware Resources Startup Group "CT Program FlestLumar Taskbar AlmanackLunabaı.exe"" 
E: Carmponenks Taskbar Displ.. Regety Per lser Run] RunÛLL dsskep1 6. dil QUICERES_RUNOLLENTRY 
E Saftwe E riranmerit ScanRegisty  Regehy Machine Run] € AIMS LSEANLEIWN ENE aR oun 
FH Prvets: Taskonitar Registy Machine Fun] cimo laskimor EKE 
38 16-bit Modules L System ia Regetiy Machine Run] SpsTray EE 
1 Loaded LoadPFowerfr... Regitıy Machine Run] Riundll32 ene povwıprof.dl LoadCunenlPwrScheme 
: 3bi Modules Loaded WehwindaEXE  Regiety Machine Run] CAMedleeWirusScar#SHWINIZENE 
| Running Tasks şeliclient FRegirtıy Machine Run] C:\Program FlestŞE Tl@home"ŞE T@homz, exe min 
Startup Programs Ersoriqhiket Registiy Machine Run] starter ene 
System Hooks LoadPowerPt... Regsty Mache Seivice] Bund ene porprol. dl LosdCunenlParS chee 
fH- OLE Regis alia Yshrin3êERE  Regitıy [Machine Seıvice] CAModleetYrusS cant YS HWIN3E.EXE 
warmOdER Regitiy Machine Setvice] WINMODEM. 10 rexe. es 


]-supportEmptyParas!if [--!>‏ > تقوم هذه الأداة بنفس عمل ×M5c07۴19‏ 
من حيث معرفة التطبيقات التي تعمل عند بداية التشغيل. إنما يضاف 
على ذلك هنا انه یمکن عرض من اين تم تحميل التطبيق ( ,)ام۲ 


.( .bat, etc.startup group, autoexec 


وبع ذلك مفيد فى هيد مكان ؤكطبية يالمراد إزالته دون البحث عنه. 


<[-endif]--!> <[-supportEmptyParas! if]--!> 
الخلاصة:‎ 


٠‏ يتم كشف المنافذ المفتوحة عن طريق الأمر أةأكا6"-ة في الدوس 
Arabic DOS Windows < Programs < Start Jڵlخ ja‏ او غيرھا 
من الطرق المعروفة للانتقال إلى الدوس. 


عند تنفيذ الأمر أةاكاه" -ه لا بد وأن تظهر لك العديد من المنافذ إِمَّا 
بحالة 9٣n1ءList‏ او Established‏ .. عندها يجب عليك التمییز بین 
التطبيقات التي تحتاجها مثلاً كالإكسبلورر والآوتلووك .. الخ. 
وملاحظة التطبيقات الغريبة خصوصاً إذا ظهر لك رقم 1۲ غير 
معروف بالنسبة لك.. فهذا بعني أن هناك اتصال كي جطرك واآخههن 
خلال هذا التطبيق ويجب عليك غلقه وحذفه»ء إن لم تک 


لستحدمه. 
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E: WINDOWS ?nELsSTLat -a 
Active Connections 


State 

LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTEHIHT 
LISTENING 
LISTENIHNT 


Proto Local Hddress 
TEF sfz:0 

Hy sfz:1032 

TEF sfz:pop3 

TEP sfz:2940 

Hy sTz:2941 

Hy sfz:1025 

Hs sfz:1026 

Hy sfz:1038 

TEF sfz:28h8 :0 LISTENING 

Hy sfz:2913 .D.0.0: LISTENING 

TEP sfz:1032 msqr-ns15.msgqr -hotma1l.com: 1363 ESTABLISHED 
TEP sfz: 2940 proxy-_isu.nel.sa:FOFD ESTABLISHED 

TEP sfz: 2941 proxy-isu.nel.sa:§030 ESTABLISHED 

UDF sTz:1025 

UDF sfz:1020 
UDF sfz:1038 
UDF sfz:2BhB 
UDF sfz2:2913 


tm 
. 
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٠‏ في المتال السابق.. الوضع الطبيعي إلى حد ما يبدو هكذاء حيث 
انه لا يوجد اي رقم 1۴ غريب ولا يمكن معرفة مصدره.. وكذلك هناك 
منفذ ال ۲0۴ يمكن أن يكون مشغولاً إذا كنت تستخدم الآوتلوك 
لجلب » وكذلك الماسينجرء ولا داعي للقلق خوفا من التجسس في 
هذه الحالة. أيضا تلاحظ وجود البروكسي لمزود الخدمة لديك. 


لإغلاق المنافذ ( البورتات ) الخطرة لديك.. يجب عليك أولاً: التعرف 
علي البرنامج الذي يستخدم هذا البورت من خلال برنامج €۲ ل71١1.‏ 
تانيا: تتبع مصدر الخطر ( ملف السيرفر) وحذفه. 


ينصح باستخدام أحد برامج ال ااة ۴۲٠٠۷‏ لحماية الجهاز. التي تعمل 
على إغلاق جميع المنافذ إل المنافذ التي ترغب باستخدامها فقط 
کمنفذ ۲0۴ للبرید أو منفذ ال ۴۳۴ .. الخ. وهذه البرامج عديدة ء 
glرlk: Zone Alarm ھs Norton Internet Securtiy‏ . 
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كعكة الإنترنت هل لديك الكثير منها؟ 


Internet Cookies 


که الانترنت هى ملف نصیى صر مكون عادة مى ستة اأجزاء وھى" 
اسم الكعكة » قيمتها » تاريخ انتهاء مفعولها » اتجاهها » الموقع المالك لهاء 
درجة الأمان ( التشفير ) وأخيرا طبيعة المعلومات التي تقوم بجمعها. 
ومصدر هذه الكعكات هي المواقع التي تقوم بزيارتها أنت أثناء تجولك 
بالشبكة أو المواقع المتعاونه معها وهناك مصدر أخر وهو البريد الإلكتروني 
الخاص بك حيث أنك وحال فتحك لأي رسالة قادمة من أي مصدر يقوم ذلك 
المصدر باهذائك كقكة من انتاجه ! حتى لوكان المرسل صديق لك لأن كل 
صفحة مرسلة لابدامن,احتوائها على رموز مزود الخدمة لذلك الصديق 
خاصة 8 كانتطلرسل من النوع المكتوب بلفة الترميز 


کیف ومتی تعمل؟ 


بكل بساطة ما أن تزور أي موقع على شبكة الإنترنت وتدخل على أي من 
صفحاتها الرئيسية كات أويللعية حتج هي ذلك الموقع باصدار نسختين 
من الكعكة الخاصة بهم واحدة تبقى في السيرفر الخاص بهم والاخرى يتم 
ell EOS KK l< JN‏ 
بارسال هذه الككات جاهزة دا وخت ون تنظ مله بعص النكهات 
الخاصة بك حتى تكون كعكة معتبرة ناس بت قل وذلاتحال قيامك 
بتعبئثة استمارة أو استبیان 

ويقوم الموقع بتخزين الكعكة على فرطك اله الملفات مع 
العشرات أو المئات من الكعكات الاخرى ال م موقع ال 
بتخزينها من قبل دون أن تشعر ا بذلك أو حت الاستئذان منك! وفورا 
IC IT ToS‏ 
مومتوا ال ارسلت می ارا الا وهی حع العا دا 
CNS SDS LIN o oe‏ 
RNS IL SNL KC‏ 

النسخة الموجودة لديهم ويقوم المتصفح لديك بعمل المهمةاالهطاية منه 
dL Ty‏ 


المعلومات التي تقوم بجمعها المواقع 


تلف اللومات می کہ الی ایک ب ال مه ال ا هاا 
ولكن يمكن إيجازها في النقاط التالية: - نوع الجهاز والمعالج المستخدم - 
معرق بروتوكول الإنترنت الخاص بك - طريقة اتصالك بالإنترنت وسرعة 
المودم - المواقع التي تقوم بزبارتها - صفحانك المفضلة- ماذا تشترى من 
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ENC SNN ACU Lc 
على الشبكة وكم ساعة تقضي من الوقت على الشبكة- وكذلك اسمك‎ 
وعنوانك البريدي وكافة المعلومات التي تقدمها للموقع وذلك أثناء تعبئة‎ 
الات ماران أو الاس ااب ركم طافة الاتمان ال اة ل وع ها‎ 
اأمعلومان المفدة‎ 


حقائق عن كعكة الإنترنت 


هي ليس لحد ذاتها ولكنها مجموعة من المعلومات المخزنه 
والمرتبة ولذلك هة اكش كل تهديد أمني مباشر لجهازك وذلك لعدم 
مقدرت على وام لۇھ قل _الفیروسات كما انها لا تستطيع جمع معلومات 
ش ية عنك غي التي ۵ انت بنفسك بتقديمها للمواقع أثناء تعبئة 
الإستمارات أي ان هاس 

الحقيقة الأخرى وهي أن هذه المعلومات لا يستطيع قراءتها والاستفادة 
منها سوى مصدرها لأنها عادة مشفرة إلا إذا كانت متعاقدة أو متعاونة من 
مواقع أخري لتبادل المعلومات فيما بينها 

والحقيقة الأخري أن ليست كل الكعكات مخصصة لجمع المعلومات فهنالك 
كعكات تساعدك علاط عملية الثذاء وأخرى تساعد على سرعة 
تحميل وتنزيل الصفحة عند تكرار الزيارة في المستقبل وذلك بتخزين الصور 
وغيرها من الملفات الكبيرة والت#®ادته تاخذ وگ طول لنقلها على 
الشبكة وهناك ما يساعد على تجنبإتكرار الإعلاناتاوهناك ماهو مخصص 
NIE‏ 


كيف يمكنك ايقاف أو على الأقل ان تقلل من كمية الكعكات التي 
لا تتوقف عن ارسال المعلومات عنك؟ 


يمكنك ذلك بعدة طرق و أولها مسح تلك الكعكات المظزنة تيهاتيهك 
الصلب بطريقة دورية ومسح تاريخ المواقع التي زرتها ف بسكت إزالة 
الملفات المؤقتة المتعلقة بالمتصفح الخاص بك. وهناك طرق فظكرى 
للحيلولة دون تكرار زرع تلك الكعكات في قرصك الصلب وهي له عمل 
الف لاا 0 ااال ال ي ف الا 


دليل عملي على كيفية إزالة الكعكات من قرصك الصلب وكيفية 
منعها من التخزين مجددا 
ننصح بطباعة الصفحة قبل الإستمرار 


LS E NaS U 
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CIL a UN O A oS 
البداية وعندها تظهر لك قانمة البدانة . قم باختبار‎ 


Find "find Files or Folders " 

type "cookies " 

Look in "My computer " 

press Find 

تظهر لك جميع المجلدات تحت ذلك الاسم قم يفتح كل مجلد وبعد ذلك 


From Edit Menu "select all " 
then from Edit Menu press "Delete " 


كررالعملية نع مجم المجلدات بنفس الاسم كما ننصح القيام 
بذلك كل فترة من الزمن 

ملاحظة: ف يسظلك الجهل.. انمالإعكات هل أنت واثق من رغبتك في 
إزالتها؟ اجب بنعم ولاعليك منها 


ثانيا: لنقم بمسح الكعكات المخزنه لديك في الملف المؤقت الخاص 
بمتصفحك › إذا کنت تستخدم انترنت إكسبلورر قم بالنقر على أيقونة 
المتصفح لديك مره واحدة بالزر الأيمن للفأرة وتظهر لك لائحة بها عدة 
خیارات. قم باختیار 

Properties 

then new window with different pages will open for you, select 
""General "" 

وهي تنقسم إلى تلات أجزاء وفي الجزء الأوسط تجد 

Temporary Internet Files 

إذا كنت ترغب بمسح الملفات مباشرة دون الاطلاع عليها قم بالضغط على 


Delete file 

يظهر لك سؤال عن رغبتك في مسح الصفحات المحفوظة للاطلاع عليها 
دون الاتصال على الشبكة . قم باختيارها إذا لا تريد الاحتفاظ بها وفي 
النهاية اضغط 

OK 

اما إذا كنت ترغب في مشاهدة الكعكات ومصادرها قم بالضغط على 
setting‏ 

View Files or View Object 


وبعدها يمكنك العودة لمسحها كما تم شرحه أعلاه 
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وأخيرا قم بمسح ملف تاريخ زياراتك للمواقع وذلك بالضغط على 
Clear History‏ 


كيفية تجنب تخزين الكعكات على قرصك الصلب 


TS GS 
كسا الل الل ال د‎ 


بنفس الطريقةاقم بالضغط على أيقونة المتصفح وذلك بالزر الأيمن من 
الفألةوا اي 


Properties , select Security 
then press on costom level 
وقم بالنزول بالصفحة حتى تجد‎ 
cookies 


وبها الخيارات التالية 


-Allow cookies that are stored on your computer 
وتحت هذا الخيار قم باختيار‎ 

Disable 

حتى تمنع تخزين الكعكات على قرصك الصلب 

-allow. persession cookies )not stored ( 


قم باختیار 

enable 

وهذا الاختيار يعطيك ميزة السماح للكعكات والعمل مؤقتا غند تصفحك 
للإنترنت وبالتالى الاستفادة من جميع مميزات المواقع ولكن دون السماح 
بتخزین الكعكة حيث أنك وبمجرد اغلاق المتصفح سوق تتخلص من 
الكعكات » أما إذا رغبت بعدم السماح لهم مطلقا قم باختيا( 

Disable 

سوق لن تستطيع مشاهدة بعص الصور او التمتع بجميع امكاتيات 


MD 
OK 
yy 


Advanced 


وعليك بالنزول بالصفحة حتى تجد 
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SeCUrity 

وقم باختیار 

Empty Temporary internet files folder when browser is closed, 
then press OK 


وطبعا لا تنسى أن تقوم بالتخلص وافراغ سلة المهملات من الكعكات التي 
قمت بمسجها من الملفات. لأنها وإن انتقلت إلى سلة المهملات على 
سطح المكتب إلا انها تقوم بدورها مالم تتخلص نهائيا منها 


طرق التخلص امن مفقات التنجاس 


هذه مجموعة من اشهر ملفات التجسس و طرق 
ا 


Back Oriface 


يعمل على فتح المنفذ ۲۳٠۷‏ لجهازك و يجعل 
S1 olla u‏ 


ا ا 


و Run‏ اختر أاهSt‏ - من قاثمة البداية1 

Regedit‏ كتبپ 

- من القائمة على اليسار اختر2 

HKEY_LOCAL_MACHINE مöSoftware‎ ۾ڌi‎ 

Microsoft pi Windows pî Current Virsion 

مî‎ Run lilyz|l gl Run Once. 

لكن يمكنك ×۴ - اسم الملف متغيير من مكان لأخر امتداده دائما3 
عندما ع×عمعرفته كون اسم الملف او السرفر تظهر بعده مسافةو من ثم . 
تجد الملف الغه تماما .. 


Net Bus +*** Jı النسخ‎ - 
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هو الاكتثر انتشارا على الشبكة .حجمه ٤۷۰‏ كيلو بايت 
یستخدم المنافذ ۱۲۲٣٥۵‏ و المنافذ ۲١۲۲٠و‏ هو يمكن المخترق من 
اللسيطرة شبه الكاملة على جهازك . 


N LN 


Mode .‏ مfهS‏ -اطفأً الجهاز و اعد تشغيلة بهيئة الوضع الآمن او1 
2- من الاعلى انتبع الخطوات من ١و2‏ 

9 الغه‎ 9 
ll 


من تم اعد ع‌×ع.٣s\patcسc:]Windo‏ - ابحت عن الملف التالي3 
الجهاز. 

للأعلى 

Net Bus 2000 

على عکس السابق فاسمه متغییر و حجمة 0۹٩۹‏ بايت. 

طريقة التخلص من الملف: 

Regeditو‏ اكتب R1١‏ اختر أاهSt-‏ من قائمة البداية 1 

Software‏ تم HKEY_LO0CAL_Machine‏ - من القائمة على الیسار اختر2 
Microsoft pî Windows p»pڌi Current Virsion pî Run services‏ î»م‏ 

( هذا هو اسم الملف ع×ع.65۷۲- ابحت في القاثمة على اليمين عن3 
في الغالب) هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي 
.وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية. 

NBs‏ تم ابحٿ عن مجلد اسمه USER‏ _اHKEYL0CA‏ - انتقل إلی4 
۴L۴‏ اضغط على المجلد بزر الفارة الایمن اختر 5۵۲۷٥۲‏ 

5 - اختر إعادة تشغيل الجهاز بوضع دوس5 

و ادخال و من ۳عاsyYs C0‏ اتبعھا ب اعاEn‏ تم إدخال Cd Winodw‏ - اکتب5 
Del Log. txt‏ و اخ Del NBHelp.d||‏ و ادخال NBSvr.exe‏ اDe‏ تم اکتب 
و انتهى . اعد تشغيل جهازك . 


Heack’a Tack’a 


OC EP o NN NIN lS 
. TV۹1 g9 IVA g9 TIVAV 9 F00 


طريقة التخلص من الملف: 
Regeditو‏ اكتب R1١‏ اختر أاهSt-‏ من قائثمة البداية 1 


Software‏ ڌم HKEY_LOCAL_MACHINE‏ - من القائمة على اليسار اختر2 
Microsoft pî Windows pi Current Virsion pî Run ill glRun‏ î»م‏ 
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و الذي يوافق المسار ۲32٤۲٥ام×۴‏ - ابحت عن3 
و ق۾ بعiفa C:\WINDOWSI\Exp|32.exe‏ 


للأعلى 

NetSphere 

٤۶ 30100 -٣P 30101-1 3102‏ یستخدم المنافذ 
طريقة التخلص من الملف: 


Regeditو‏ اكتب R1٧‏ اختر أ۲اهSt-‏ من قائثمة البداية 1 

Software‏ تم HKEY_LOCAL_MACHINE‏ - من القاثئمة على الیسار اختر2 
Microsoft pî Windows p۾piã Current Virsion pû Run‏ î»م‏ 

exe‏ .>s|\syYstem\nssxس0لnاc:]|Wi‏ -ابحت في الجهه الیمنی عن2 

- احذق هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على3 
CTRL+ALT+DELETE.‏ 


مصادر و برامج مغيدة: 


معلومات حول انواع كثيرة مj‏ مlخlت e Commondon Threat‏ 
التجسس إذا لم تجد ما تريد في موقعنا يمكنك الاتجاه لهذا الموقع . 
يقوم بتنظيف جهازك من معظم ملفات التجسس.:. 3۸۴€۲ع€اC€ 1e‏ . 
قائمة بالمنافذ المستخدمة من قبل ملفات التجسس أكاا ام۴" ه 
و انواع اخری Bac) 0i2‏ ينظف جهازك من 3۸عا€ 60 e‏ 
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کیف تتخلص من القنبلة ۸ع۷eعs Sub‏ 


M0 N I CMS 
عليه البعناليه القزسلة تتركز خطورته في أنه يتميز بمخادعة الشخص‎ 
الذي بجلا الاو ید ترکیب نفسه تلقاثیا بعد حذفه بعتبر قوی‎ 
برنامج إختراق للأجهزة الشخصية وفي إصدارته الأخيرة يمكنه أن یخترق‎ 
كما يمكنه إخترق آي جهاز آي شخص بمجرد‎ M1۲٥١ سيرفر لقنوات المحادتة‎ 


MN E bS . ETD 
عليه البعض إسم الكل ركز خطوي في أنهيتميز بمخادعة الشخص‎ 
الذي یحاول إزالته فهو یعید ترکي اتفال بعد حذفپیعتبر قوی‎ 
برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق‎ 
كما يمكنه إخترق آي جهاز آي شخص بمجرد‎ M1۲٥١ سيرفر لقنوات المحادتة‎ 
معرفة إسمه في 100 كما یمکنه افتراقمیا تھ ربد ه0003/5۹68 بعتبر‎ 
الإختراق به صعب نسبيا وذلك لحد ءاه ملا اهس الخاص به في‎ 
أجهزة المستخدمين الا أنه قائما حاليا ع ليا ثي صورة مخجهلزق ويتوقع‎ 
آنه تلل ف ارا اسو ک0 ا ا‎ 
RNR Mo oa ادأ‎ 
نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن‎ 
المخترق من السيطرة الكاملة على الجهاز وكأنه لالس ® اجار‎ 
الخاص به حيث يحتوي على أوامر كثيرة تمكنه من السيطرة عليه . کل‎ 
n E O TTT 
الحصول عامل كلما المرو . فاام قم دحاال ي ع‎ 
MN O DL TT 
ولخطورته الكبيرة فسوفق نفصل في الشرح عنه‎ 
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0 jp: IP NUM ” | port: 1243 connect 0 


startip: OO ),|OO |, DO |, 
endip: OO [OO |, OO |, 00 


port: 1243 delay: & 


5 open IP tanl 


- idle - jaubF Yersion 2.0 (copyright and (Hjeleteright 1 393 
: اعراض الإصابه‎ 


من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء 
عملية غير شرعية ..." وتظهر هذه الرسالة عند ترك الكمبيوتر بدون 
ريل الماوس أو ال على ااال ق روم الام عمل 
تغييرات في حافظة الشاشة وتظهر هذة الرسائل عادة عندما تقوم بإزالة 
إدخالات البرنامج في ملف 5۷56۳.أ¡ كما أن بامكان الخادم إعادة إنشاء 
نفسه بعد حذفه من الويندوز باستخدام بعض الملفات المساعدة له في 
ذلك 
خطورة البرنامح : 
يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامح التخرير 


الخاص به لذلك فإنه من الواجب البحث في أي مکكان ممكن أن يسجل فيه 
ال اا ا SS‏ أوامر للوبنو لیقوم بتشغیله 


التخلص منه : 


-١‏ إفتح الملف |٣1.W1١‏ الموجود في مجلد الويندوز وابحث في بداية 
السطور الأولى من هذاالملف عن آي قيك شبيهة بالقيم التالية : 


dll.xxxx =Load gİ exe.xxxx=Load g9 dll.xxxx = run 9Î exe.xxxx=run 


لاحظ أن ×××× تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم 
بحذفها 
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-٣‏ افتح الملف "۳عأاكرء.أماً الموحود فقي مجلد الويندوز وفي السطر 
الخامس ستجد السطر التالي : 


اshel=‏ orerاe>e.Exp‏ ... فإذا کان جھازك مصابا ستجد السطر علی هذا 
الشكل : 


dll.exe xxxx.Explorer =shell go .... exe.xxxx exe.Explorer=shell 


مع العلم بأن ×××× هو إسم الخادم الذي من أشهر أسمائه 16ا0٣‏ e.۲U×ع‏ 
و exe. r ask_B۲‏ فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح 
lلسط¦طر‏ : exe.Explorer =shell‏ 

۲- إضغط على ۲ة اء تم تشغيل تم إكتب اال ع۲9 لتدخل الى 

ملف السجل ثم قم بالدخول تسلسليا على الأتي : 
HKEY_LOCAL_MACHINE‏ 

Software 

Microsoft 

Windows 


Current Version 


داخل المجلد ۸1١‏ إبحث عن إسم الخادم الذي عثرت عليه في ملف 
gİ ini.system‏ الملف ٣أW.أ١|‏ ( في بعض الأحيان قد يتفير إسم الخادم في 
ملف التسجيل لذلك إبحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد 
الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ولف التسهل 
حوالي ۳۲۸ كيلو بايت إذا كان كذلك عد لنفس المنطقة في ملف 
التسجيل وقم بحذق القيمة وذلك بالنقر على إسمها وإختيار حذف عاعامل 


الآن أعد تشغيل الجهاز تم توحه لمجلد الويندوز وقم بحذف الخادم بالنقر 
عليه بالزر الأيمن للماوس وإختيار حذق . 


تم بحمد الله 


أعداد المبرمج:مشتاق طالب رشيد العامري 
16-12-09 


بعض طرق الوقاية من الأختراق الألكتروني 
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